公司安全部门成立的较晚(目前就我一个人负责),高层领导也对信息安全没有什么认识,甚至连安全策略和针对性的法律法规文件都没有,但是运营侧小伙伴却兴致勃勃的搞起了ISO27001体系认证,那么作为大家经常说的“一个人的安全部门”,只能一边苦笑,一边配合。
前期体系的建设工作分为三步:
1、 填写各种各样的材料,没完没了的编和想象; 2、 糊弄评审老师,告诉他们我们公司目前信息安全体系很棒; 3、 请老师吃饭;
通过近半年的奋战,公司终于完成了ISO27001的复审,按照评审老师的评价:“贵公司没有什么大问题,该有的材料都有,信息安全体系建设的不错”,应该是离拿证不远了。但是作为信息安全建设管理者,回想起前段时间为了应付检查,大量撰写的“公司信息安全体系落地文件”,不经出了一身冷汗,公司的信息安全真是处于“原始社会”;
很多时候,我们在应付ISO270001评审的同时,又在对未知的信息安全问题抱有幻想,猜测与恐慌:你无法预料到那天出现安全危机,无论是技术层面上的(病毒大面积感染,公司QQ被集体脱库,绝密聊天记录被曝光,网站被DDOS等等),还是管理层面上的(内部员工泄密,间谍盗走财务数据等等);而谁也不知道我们首先应该做些什么;经过近一年的努力和探索,在这里我分享一下自己在建设公司安全管理体系和落实ISO27001之间采取的平衡策略和妥协,还请大家多多指教;
换句话来说,你得明确贯彻落实最关键的二八原则,公司的体系建设类似于为一个人定制一套衣服,首先肯定是解决裸奔的问题,而不是舒适度或者是美观;你得清楚哪些对我们公司运营是当务之急的,哪些又是暂时没必要,没有预算,或者实施不了,甚至是实施了以后影响工作效率的;例如说信息安全工作评审,手册文件上说每一个月都要进行一次评审会议,高层必须参加,但是领导层如果不是专职信息安全的人员,而且又不懂各种各样的体系,那么与其开这种一个人说话的会议不如改成每一个月的工作汇报,通过群发邮件的方式,让大家了解进展即可;又比如面对什么信息安全制度体系都没有的技术部门,你一下子甩几个三类文件规程,和几十个日志文件给他们,让他们实现什么日志评审,第三方工作日志评审,并定期让他们跟你进行工作汇报,那么我想别人肯定也只能靠编撰了。工作如果仅仅是这样做,那“建设”就成了空话,没有意识和规定,单单靠要求是不现实的事情。
要进行体系的建立,首先就是指定责任人与领导小组,这些领导小组无非是一些公司的高层,很多做信息安全体系建设的同事对此嗤之以鼻,觉得他们都不懂安全,不应该由他们来组织实施体系的建设工作;
但是,不懂安全的领导来担任信息安全指挥家,不是更能够让你“为所欲为”了吗;你也不能一个人埋头苦干而忽视了领导层,毕竟领导们处在的位置决定了他们比你更好调动资源。
对一个操作进行评审的前提,是必须要有这个操作,这是毋庸置疑的。进行体系建设也一样,如果说我们刚刚进行了防火墙日志的统计和收集,大家还不了解日志的内容,甚至说里面充斥着大量的冗余无关日志,那么进行日志的评审就显得没有必要了,这时候的当务之急应该是将日志进一步进行分析,精简,等过了这个阶段,日志分析纳入了日常工作范畴,评审才能够提上议程;
公司整体性提升信息安全意识要靠定期的培训与宣传,但是针对管理体系的培训更应该因人而异。初到公司我也进行过培训,让大家了解到信息安全建设的重要性,ISO27001体系对公司会有哪些好处。但是效果并不明显,第一是因为大家才初步了解信息安全的概念,这个时候提信息安全体系还为时过早;第二是因为每一个部门对信息安全体系的侧重点并不一样,研发部门可能会关心他们辛辛苦苦写出的代码,而财务部门却关心的是公司的防泄密体系;这个时候,周期性的,针对部门进行培训,并在其中穿插进体系的内容,大家就好理解。由浅到深尤为重要,比如这个月我针对财务系统给大家讲解了脆弱性和威胁,那么大家对风险评估就会有一定的理解,接下来开展相应的资产识别工作就容易了很多。
信息安全工作请务必让公司的“内控监察”部门配合,实现有法可依和制度的执行;特别是当初到公司,信息安全管理制度一片空白的情况下,不能每一件事都是“善意的提醒”,例如,我们可以在“内控监察”的配合下,对员工的日常行为进行了规范,(如清屏策略,密码复杂度要求,内外网分离要求等),纳入每一个月的绩效考核中,让每一个人心中都有一个最基础的信息安全意识。
初次发文,学识浅陋,如果错误或疑问,敬请海涵,欢迎评论探讨,批评指正!
*本文作者:gakusen,转载请注明来自FreeBuf.COM